在2018年,某大半導體廠驚傳產線中毒大當機事件;身為ICT代工大廠地位的英業達,鑒於資安威脅方興未艾,對企業經營堪稱重大挑戰,因而決定強化資安佈局。

英業達伺服器資訊開發中心資訊架構管理部處長徐志毅表示,過去英業達旗下負責伺服器研發與製造的重鎮、也就是桃園廠區,僅倚靠中小型Layer 3防火牆進行對外防護,無法針對應用程式、網路連線及瀏覽行為進行有效識別與管控。不僅如此,包括桃園、上海、捷克及墨西哥等全球生產據點,彼此共處在完全連通的內部網路,顯見即便對外防火牆再強,仍不足以遏止內部攻擊,亦是一大隱憂。

徐志毅說,適逢原有防火牆設備保固到期,面臨汰舊換新,加上公司高層意識到必須提升資安防護、而防火牆又是防護體系中的重要關卡,故決定啟動次世代防火牆(NGFW)部署計畫,以便能針對應用程式實施管控,並順勢建立內部網路分段機制,確保廠區與廠區、樓層與樓層、OA與OT之間皆有明確隔離。後來經過審慎評估,拍板選定引進Check Point Maestro Hyperscale Orchestrator解決方案,串接3台Check Point Quantum CP6500防火牆設備。

深究英業達之所以青睞Check Point解決方案,在於它支援集中化架構,讓資安管理者透過單一界面,即可針對所有防火牆設備進行設定與管理,大幅減輕人力與工時。此外更重要的,Maestro深具擴充彈性,英業達可隨時因應業務量與客戶數攀升,選擇增購Check Point防火牆,並於短短數分鐘內整合至Maestro架構,立即增強防禦效能。在去年(2021),英業達即新增一台Quantum CP6500,將Maestro整合範圍推進至4台防火牆,其間完全無需歷經傳統由小換大時必然發生的Downtime陣痛期,就能輕易升級防火牆的分析與處理能力。

遴選NGFW,優先觀察線路接入與效能表現

徐志毅透露,當時曾針對市場上所有NGFW知名廠牌進行評估。自始至終,英業達都側重兩大觀察點,首先檢視各個設備能連接多少條實體網路線,意即擁有多少通訊埠;此乃因為,英業達不僅利用防火牆檢查所有出入閘道的流量,也靠它來實現內部網段隔離,考量內網連接的實體線路數量甚多,故須確保埠數量的足夠。

至於第二項觀察重點,在於防火牆的效能是否充裕,係因此防火牆除承擔Internet存取流量外,還需面對巨大的內部流量交換需求,若未具備強大效能,恐難承載如此繁重任務。

根據上述條件,英業達專案團隊在沒有太多懸念下,選擇採用Check Point Maestro方案。主要著眼於Maestro立基Hyperscale架構,不但能輕易滿足英業達在意的線路接入、甚或高可用性(HA)設計等需求,還留下莫大餘裕空間,便於日後藉由橫向擴充(Scale Out)方式,將更多NGFW納入Maestro架構,不斷提升內外部流量的處理效能。而英業達會以「峰值流量是否到達每台防火牆處理負荷的70%」,作為考慮啟動擴充計畫的重要依據。

值得一提,Check Point Maestro方案採用集中式管理架構,意謂IT人員可集中執行所有維運作業,反觀其他NGFW廠牌產品,用戶若不另外購置統一管理平台,就只能屈就於分散式做法,針對不同廠區或樓層逐一佈建防火牆,導致總體購置數量增多,且須針對每台防火牆個別管理、徒增維運負擔。相形之下,Maestro相對討喜許多。

憑藉統一界面,推動所有設定與管理

由於Check Point Maestro方案的導入,涉及不同廠區、樓層乃至客戶研發單位之間的隔離,網與網之間的路由如千絲萬縷,必須針對一個個網段及VLAN執行盤點和設計,迫使專案內容流於複雜,衍生的開會討論可謂不計其數。

「為避免影響生產,我們選擇在週日進行網路調整,」徐志毅說,鑒於網路調整不只牽動桃園廠區,還會連動海外廠區,稱得上茲事體大;所幸Check Point及其代理經銷夥伴力挺到底,犧牲假日與英業達並肩作戰,逐步將一個個網路分段建構出來,甚至到了週一上午仍整備待命,以便適時處理任何意外狀況。

透過內外部專案夥伴的努力,使英業達得以滿足預設目標,包括網路分段的基本架構建置,以及Layer 7安全風險管控,另外也能借助統一界面進行各廠區或樓層的分段設定,並透過視覺化的報表暨圖表設計,幫助管理者清楚洞悉每週或每月的威脅態勢。

舉例來說,藉由Layer 7流量識別能力,英業達可設定多層次管控機制,開始少數人有權使用釘釘通訊軟體、RDP遠端桌面、YouTube等等工具,其餘非職務必要的多數員工都在禁用之列;另提供沙箱功能,以檢查可疑的網頁或附件。總之凡是有減損生產力、或招致駭客入侵之虞的網路行為,皆可望被NGFW適時攔阻。

另一方面,儘管英業達對Check Point的Maestro方案,乃至背後搭配運作的威脅情報平台ThreatCloud都深感滿意,但考量內部環境不僅有防火牆,尚有其他資安設備,彼此的日誌亟需一併判讀,才足以釐清可疑活動的前後脈絡,繼而達到聯防效果,加速化解資安風險;但要靠人力判讀海量日誌,是不可能的任務。

為此英業達啟動第二階段專案,引進Check Point Infinity SOC服務,協助持續監控網路狀態並收集所有相關日誌,再以ThreatCloud為依據執行分析,量身產製最符合英業達網路環境的報表,以利及早定位與處置潛在威脅。展望下一步,英業達期望借重Check Point在於OT防護等面向的獨特優勢,透過彼此合作關係的深化,全面精進資安防護實力。

熱門新聞

Advertisement